С сессиями сложнее. Очень часто помимо ключа сессии на фронте хранится еще и CSRF-токен, который не даст мне возможности отправлять запросы извне SPA-приложения, а ключ сессии мне ничего не даст в принципе.
Сервер просто не примет запрос, ссылаясь на неверный CSRF-токен.